Analiza tu tráfico de red con Wireshark

3
61126

Analiza tu tráfico de red con Wireshark

0. Índice de contenidos.


1. Introducción

En este tutorial vamos a ver como analizar el tráfico que tenemos en nuestra red.

Este tutorial te puede ayudar a:

  • Detectar envío de información personal a un servidor, como hacen algunos keyloggers u otros programas más elaborados destinados a robarnos números de cuentas y todo tipo de información personal. No solo detectar sino saber exactamente a donde se están enviando.
  • Profundizar más en los programas “caja negra”(*) que podemos tener instalados en nuestro ordenador y se comunican con el exterior.
  • Saber si tu vecino te coge prestado el Wi-fi sin pedirtelo
  • … y muchas cosas más.

(*) Un programa “caja negra” es un programa que no deja ningún tipo de log ni de información ni muestra ningún tipo de ayuda cuando se produce un error en él. ¿ Os suena ? .


2. Entorno

  • Hardware: Portátil MacBook Pro 15′ (2.0 GHz Intel i7, 8GB DDR3 SDRAM, 500GB HDD).
  • AMD Radeon HD 6490M 256 MB
  • Sistema Operativo: Mac OS X Snow Leopard 10.6.7
  • Software relacionado con el tutorial: Eclipse Helios, Spring 3.1.1.RELEASE, Apache Tomcat 7


3. Descarga e instalación de Wireshark.

No me voy a enrollar mucho en este apartado porque la instalación es básicamente seguir el método del next-infinito. Podéis bajaros Wireshark de http://www.wireshark.org/


4. Analizando tramas

Para empezar a escuchar el tráfico que se produce en nuestra red, tendremos que hacer click en “Interface List”. Después pulsamos en Start.

En este momento tenemos un montón de paquetes que vemos que se transfieren por nuestra red. Es el momento de aplicar una serie de filtros para poder interpretar mejor la información.
Podemos pinchar en la parte superior en “Expression…” y desplegar la opción de IP v4 tal y como se muestra en la imagen para filtrar los destinos y que solo nos muestre los paquetes que van hacía una IP en concreto que nos pueda interesar.

Aceptamos pulsando OK y para aplicar el filtro tenemos que pulsar en Apply . Imaginaos que estais escribiendo en el bloc de notas y mientras, tenéis abierto el Wireshark. Observais que cada X tiempo se envía cierta información a una IP que decidís que es sospechosa. Si filtrais por dicha IP podéis ver todos los paquetes que se han enviado. Si el protocolo es un protocolo sin seguridad como podría ser HTTP los paquetes van en claro. En la siguiente imagen os muestro lo que saldría si hacéis doble clik en la trama. Esto es el mensaje y van en hexadecimal y en claro para protocolos como HTTP. Si estos bytes se correspondieran al texto que escribís en el Bloc de notas en ASCII tengo malas noticias para vosotros, tenéis un keylogger en vuestro ordenador.

La siguiente imagen es simplemenete para ejemplificar lo que se produciría cuando os intentarais logar en una página de un banco. Veis como se reproduce todo el protocolo HTTPS, con el Client Hello, el Server Hello y el intercambio de claves. Toda esa comunicación va en claro. En cuanto empieza a enviarse los datos, ya van cifrados mediante HTTPS.


5. Conclusiones

Como ya he dicho en la introducción me parece un programa muy útil para ese tipo de cosas, tanto para ahondar en software que no conocemos como para investigar la seguridad de nuestro equipo. Por contra, no me ha parecido un software extremadamente intuitivo, y queda en vuestras manos el experimentar con más filtros y probar a fondo el programa para que saquéis vuestras propias conclusiones. Espero que os haya parecido tan interesante como a mí y que os resulte útil. Un saludo !!


6. Información sobre el autor

Alberto Barranco Ramón es Ingeniero Técnico en Informática de Gestión y Graduado en Ingeniería del Software por la Universidad Politécnica de Madrid

Mail: abarranco@autentia.com.

Twitter: @barrancoalberto

Autentia Real Business Solutions S.L. – “Soporte a Desarrollo”.

3 Comentarios

  1. Hola muy buen material. lo que quiero hacer y no puedo es ver el trafico pero de otra pc no donde lo tengo instalaso al programa. por ejemplo donde lo tengo instalado mi ip es 192.168.1.3 y la ip de la otra pc es 192.168.1.8 que es la que quiero ver y sigo los pasos de tu material y no muestra nada. podrias decirme como lo hago. desde ya Muchas Gracias. te escribo desde Resistencia – Chaco – Argentina.-

  2. hey. teniendo mi pc con ningun programa abierto tengo un trafico de datos grandisimo los protocolos son tcp, http, arp y dns. no se de donde sale tanto trafico. he filtrado el sistema com aide, clam av, rkhunter, snort y he mirado los procesos ocultos con unhide. limpie mi sistema de dos rootkits que estaban en la carpera /etc/init. de resto ninguna otra amenaza de seguridad que yo sepa. cuando cierro los puertos el trafico que queda solo es icmpv6 pero cuando quito el firewall y abro puertos el torrente de datos empieza. no le encuentro sentido. que podria ser. mi sistema es un archlinux con un kernel 4.7. y esta al dia en actualizaciones.

Dejar respuesta

Please enter your comment!
Please enter your name here